网络安全 IP sec 实例.ppt

IP sec 实例 我们跟踪一个HTTP数据包从Host A-Host B，该数据包在Host A-Host B之间会被IP sec模式下的AH进行保护，在RA-RB之间会进入IP sec ESP隧道 1、为什么要设计两个IPsec协议AH和ESP? ESP要求使用高强度密码学算法，而高强度密码学算法在很多国家都存在很多严格的政策限制，但认证措施是不受限制的，因此AH可以在全世界自由使用。另外一个原因是很多情况下人们只使用认证服务。两种协议并存能够使IPsec在网络上被更大范围地接受。 2, AH和ESP的认证功能有什么区别? 两种协议的认证范围是不同的:AH是“尽最大可能保护”，即不管在什么模式下都认证整个数据包的不变部分;ESP总是不保护最外层的IP头等信息，侧重于保护负载部分。 3、为什么要设置两种操作模式? 传输模式:最适合在两台主机间部署，不用复制新的IP头，节省带宽，效率较高; 隧道模式:最适合在网关之间部署，它可以不关心原始数据包的具体内容而只是把它封装在以两端网关为源地址和目的地址的新的数据包内进行传输，这个传输模式是做不到的。 网络传输拓扑图如下所示: Host A产生一个HTTP请求包(TCP ， Port 80)发往Host B(一个web服务器)，其间会穿越路由器RA和RB，这里路由器RA和RB也充当了安全网关的角色。各个节点的SPD和SADB情况如下: Host A RA处 RB 处 Host B IPsec VPN保护下的HTTP数据包传输流程